個人データ暗号化の設定と構成
この記事では、個人データ暗号化の設定と、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します。
注
個人データ暗号化は、MDM ポリシーを使用して構成できます。 個人データ暗号化によって保護されるコンテンツは、 個人データ暗号化 API を使用して指定できます。 Windows には、個人データ暗号化を有効にするか、個人データ暗号化を使用してコンテンツを保護するためのユーザー インターフェイスはありません。
個人用データ暗号化 API を使用して、カスタム アプリケーションとスクリプトを作成して、保護するコンテンツと、コンテンツを保護するレベルを指定できます。 さらに、個人データ暗号化ポリシーが有効になるまで、個人データ暗号化 API を使用してコンテンツを保護することはできません。
個人データの暗号化設定
次の表に、個人データ暗号化を有効にするために必要な設定の一覧を示します。
| 設定名 | 説明 |
|---|---|
| 個人データの暗号化を有効にする | 個人データ暗号化は既定では有効になっていません。 個人データ暗号化を使用するには、それを有効にする必要があります。 |
| 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | Winlogon の自動再起動サインオン (ARSO) は、個人データ暗号化での使用にはサポートされていません。 個人データ暗号化を使用するには、ARSO を無効にする必要があります。 |
個人データ暗号化の強化に関する推奨事項
次の表に、個人データ暗号化のセキュリティを向上させるための推奨設定を示します。
| 設定名 | 説明 |
|---|---|
| カーネル モードのクラッシュ ダンプとライブ ダンプ | カーネル モードのクラッシュ ダンプとライブ ダンプにより、個人用データ暗号化で使用されるキーが公開される可能性があります。 最大限のセキュリティを確保するために、カーネル モードのクラッシュ ダンプとライブ ダンプを無効にします。 |
| Windows エラー報告 (WER)/ユーザー モードのクラッシュ ダンプ | Windows エラー報告を無効にすると、ユーザー モードのクラッシュ ダンプが防止されます。 ユーザー モードのクラッシュ ダンプにより、個人データ暗号化によってコンテンツを保護するために使用されるキーが公開される可能性があります。 最大限のセキュリティを確保するために、ユーザー モードのクラッシュ ダンプを無効にします。 |
| 冬眠 | 休止状態ファイルは、個人データ暗号化によって使用されるキーが公開されるコンテンツを保護する原因となる可能性があります。 最大限のセキュリティを確保するために、休止状態を無効にします。 |
| コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | このポリシーが参加済みデバイスMicrosoft Entra構成されていない場合、コネクト スタンバイ デバイスのユーザーは、デバイスのスリープ解除にパスワードが必要になるまでに、デバイスの画面がオフになった後の時間を変更できます。 画面がオフになっているのにパスワードが必要ない時間帯は、個人データ暗号化によってコンテンツを保護するために使用されるキーが公開される可能性があります。 Microsoft Entra参加済みデバイスでこのポリシーを明示的に無効にすることをお勧めします。 |
Microsoft Intuneを使用した個人データ暗号化の構成
Microsoft Intuneを使用してデバイスを管理する場合は、ディスク暗号化ポリシー、設定カタログ ポリシー、またはカスタム プロファイルを使用して個人用データ暗号化を構成できます。
ディスク暗号化ポリシー
ディスク暗号化ポリシーを使用してデバイスを構成するには、[エンドポイント セキュリティ>ディスク暗号化] に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を有効にする ] を選択し、必要に応じて設定を構成します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
設定カタログ ポリシー
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| PDE | 個人データ暗号化を有効にする (ユーザー) | 個人データの暗号化を有効にする |
| Windows ログオン オプション > Windows コンポーネント > 管理用テンプレート | 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | 無効 |
| メモリ ダンプ | ライブ ダンプを許可する | ブロック |
| メモリ ダンプ | クラッシュ ダンプを許可する | ブロック |
| Windows コンポーネント > Windows エラー報告>管理用テンプレート | Windows エラー報告を無効にする | 有効 |
| Power | 休止状態を許可する | ブロック |
| システム > ログオン>管理用テンプレート | コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | 無効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
ヒント
次の Graph 呼び出しを使用して、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを自動的に作成します。
この呼び出しを使用する場合は、[Graph エクスプローラー] ウィンドウでテナントに対して認証を行います。 Graph エクスプローラー を初めて使用する場合は、アプリケーションがテナントにアクセスするか、既存のアクセス許可を変更することを承認する必要があります。 このグラフ呼び出しには 、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
CSP を使用した個人データ暗号化の構成
または、 ポリシー CSP と 個人用データ暗号化 CSP を使用してデバイスを構成することもできます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
文字列 | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
文字列 | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
文字列 | <disabled/> |
個人データ暗号化を無効にする
個人データ暗号化を有効にした後は、無効にすることはお勧めしません。 ただし、個人データ暗号化を無効にする必要がある場合は、次の手順を使用して行うことができます。
ディスク暗号化ポリシーを使用して個人データ暗号化を無効にする
ディスク暗号化ポリシーを使用して個人データ暗号化デバイスを無効にするには、[エンドポイント のセキュリティ>ディスク暗号化] に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を無効にする] を選択します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
Intuneで設定カタログ ポリシーを使用して個人データ暗号化を無効にする
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| PDE | 個人データ暗号化を有効にする (ユーザー) | 個人データ暗号化を無効にする |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
CSP による個人データ暗号化を無効にする
次の設定を使用して、CSP での個人データ暗号化を無効にすることができます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
暗号化されたコンテンツの暗号化を解除する
個人データ暗号化を無効にしても、個人データ暗号化で保護されたコンテンツは暗号化解除されません。 個人データ暗号化 API が追加のコンテンツを保護できないようにするだけです。 保護されたファイルは、次の手順を使用して手動で暗号化解除できます。
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [コンテンツを暗号化してデータをセキュリティで保護する] オプションをオフにする
- [OK] を選択し、もう一度 [OK] を選択します
保護されたファイルは、 cipher.exeを使用して暗号化を解除することもできます。これは、次のシナリオで役立ちます。
- デバイス上の多数のファイルの暗号化を解除する
- 複数のデバイス上のファイルの暗号化を解除する
cipher.exe を使用してデバイス上のファイルの暗号化を解除するには:
サブディレクトリを含むディレクトリ内のすべてのファイルの暗号化を解除します:
cipher.exe /d /s:<path_to_directory>指定したディレクトリ内の単一のファイルまたはすべてのファイルの暗号化を解除しますが、サブディレクトリは暗号化解除しません:
cipher.exe /d <path_to_file_or_directory>
重要
ユーザーが手動でファイルの暗号化を解除することを選択すると、ユーザーは個人データ暗号化を使用してファイルを手動で保護できなくなります。
次のステップ
- 個人データ暗号化に関する FAQ を確認する